Não consigo liberar o MSN!!!!!!

[durban]

Seguinte galera!!!!

Tenho uma regra no meu IPTABLES, que está bloqueando os MSN da minha empresa.... Mas olha que engraçado, consegui bloquear, mas para as pessoas que eu quero liberar, eu não consigo!!!!! De vez em quando, eu consigo entrar, mas não consigo enviar msg.

Abaixo está o meu script de bloqueio:

for IPLIBERADOS in "192.168.4.222"
do
$IPTABLES -A FORWARD -s $IPLIBERADOS -p tcp --dport 1863 -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d 64.4.13.0/24 -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d gtwy.messenger.hotmail.com -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d gateway.messenger.hotmail.com -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d messenger.hotmail.com -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d svcs.microsoft.com -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d 72.21.56.243/24 -j ACCEPT
done
$IPTABLES -A FORWARD -s 192.168.4.0/24 -p tcp --dport 1863 -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d 64.4.13.0/24 -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d gtwy.messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d gateway.messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d svcs.microsoft.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d 72.21.56.243/24 -j DROP

[WhiteTiger]

Tente fazer assim:

$IPTABLES -A FORWARD -s 192.168.4.0/24 -p tcp --dport 1863 -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d 64.4.13.0/24 -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d gtwy.messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d gateway.messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d svcs.microsoft.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d 72.21.56.243/24 -j DROP

for IPLIBERADOS in "192.168.4.222"
do
$IPTABLES -A FORWARD -s $IPLIBERADOS -p tcp --dport 1863 -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d 64.4.13.0/24 -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d gtwy.messenger.hotmail.com -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d gateway.messenger.hotmail.com -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d messenger.hotmail.com -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d svcs.microsoft.com -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d 72.21.56.243/24 -j ACCEPT
done

Pq ao meu ver primeiro vc dropa tudo e depois libera as excessões. Agora se vc liberar as excessões e depois dropar tudo vai ficar tudo dropado.

[durban]

White_Tiger

Tentei inverter a ordem, mas do mesmo jeito, ninguem consegue se conectar ao MSN!!!

Muito estranho!!!

Se alguem ainda tiver outra idéia!!!!

[WhiteTiger]

Tah. Vamos por parte. Quantos IPs vc vai colocar pra liberar? Mais de um? ENtão em vez de vc usar

for IPLIBERADOS in "192.168.4.222"

Utilize

for IPLIBERADOS in 192.168.4.222

Pq ae ele não dá erro em mais de um. É só colocar espaço assim

for IPLIBERADOS in 192.168.4.222 192.168.4.223 192.168.4.224

Agora se vc consegue barrar e não concegue liberar ae complica. Esperimente usar os DROPs assim:

$IPTABLES -A FORWARD -p tcp --dport 1863 -j DROP
$IPTABLES -A FORWARD -d 64.4.13.0/24 -j DROP
$IPTABLES -A FORWARD -d gtwy.messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -d gateway.messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -d messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -d svcs.microsoft.com -j DROP
$IPTABLES -A FORWARD -d 72.21.56.243/24 -j DROP

Dae depois libere daquela forma. Posta os resultados depois

[durban]

Seguinte White_Tiger...

Não deu certo.... rsrsrrs


Não sei por que, mas tentei de todas as formas aqui, com aspas, sem aspas, com IP no DROP, sem IP no DROP...... Fiz todas as combinações possíveis e impossíveis....

Estou já ficando de cabelo branco. O que acho mais engraçado é que ele bloqueia os MSN com a regra (Com ou sem IP), o problema está no laço ou no script para liberar!!!! Mas já fiz um monte de coisas, e nada adianta...... Se alguem tiver alguma idéia do problema, postem !!!!!!

[Brenno]

Tente fazer assim:

$IPTABLES -A FORWARD -s 192.168.4.0/24 -p tcp --dport 1863 -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d 64.4.13.0/24 -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d gtwy.messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d gateway.messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d svcs.microsoft.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d 72.21.56.243/24 -j DROP

for IPLIBERADOS in "192.168.4.222"
do
$IPTABLES -A FORWARD -s $IPLIBERADOS -p tcp --dport 1863 -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d 64.4.13.0/24 -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d gtwy.messenger.hotmail.com -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d gateway.messenger.hotmail.com -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d messenger.hotmail.com -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d svcs.microsoft.com -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d 72.21.56.243/24 -j ACCEPT
done

Pq ao meu ver primeiro vc dropa tudo e depois libera as excessões. Agora se vc liberar as excessões e depois dropar tudo vai ficar tudo dropado.

tenta assim

$IPTABLES -A FORWARD -s 192.168.4.0/24 -p tcp --dport 1863 -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d 64.4.13.0/24 -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d gtwy.messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d gateway.messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d svcs.microsoft.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d 72.21.56.243/24 -j DROP

for IPLIBERADOS in "192.168.4.222"
do
$IPTABLES -I FORWARD -s $IPLIBERADOS -p tcp --dport 1863 -j ACCEPT
$IPTABLES -I FORWARD -s $IPLIBERADOS -d 64.4.13.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IPLIBERADOS -d gtwy.messenger.hotmail.com -j ACCEPT
$IPTABLES -I FORWARD -s $IPLIBERADOS -d gateway.messenger.hotmail.com -j ACCEPT
$IPTABLES -I FORWARD -s $IPLIBERADOS -d messenger.hotmail.com -j ACCEPT
$IPTABLES -I FORWARD -s $IPLIBERADOS -d svcs.microsoft.com -j ACCEPT
$IPTABLES -I FORWARD -s $IPLIBERADOS -d 72.21.56.243/24 -j ACCEPT


recomendo você utilizar o squid+iptables, mas se não puder, vai nessas regras mesmo. boa sorte.

[durban]

Brenno, seguinte...

Fiquei até animado quando coloquei a sua regra, mas quando percebi, estava todo mundo liberado para acessar o MSN, não apenas o IP que eu designei no Laço.

Agora sim, estou ficando preocupado, não sei se só o IPTABLES é capaz de fazer esse bloqueio!!!!

Se alguem souber ainda como fazer!!!!

[mastellaro]

tenta colocar essa regrinha tb

iptables -A FORWARD -s IPLIBERADO/32 -d loginnet.passport.com -j ACCEPT


Posta ae se deu certo

[spyderlinux]

Quer um conselho.

Vc esta tentando liberar e não consegue. Faça algo que mi deixa puto mas é o melhor a ser feito

Crie outra regra de iptables

mas deixando do começo e teste

E outra,

não sei como você está fazendo seu firewall , como falei é apenas conselhos mas se fossem bons não se dava vendia.

Faça suas próprias regras.
Não copiei de algum site. Claro que aqui no fórum é mais prático pelo fato de vc detalhar então realmente servirão.

Outra

eu aqui na empresa uso as regras para bloquear e liberar

# Messenger - DIRETOR 1
$IPTABLES -A FORWARD -s 192.168.0.50 -p tcp --dport 1863 -j ACCEPT
$IPTABLES -A FORWARD -d 192.168.0.50 -p tcp --sport 1863 -j ACCEPT

echo "# FECHANDO MESSENGER "
$IPTABLES -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1863 -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d 65.54.239.80 -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d 65.54.179.192 -j REJECT
########### REGRA ACIMA IGUAL A DE
########### BAIXO POREM COM O IP PARA RESOLVER
# iptables -A FORWARD -s 192.168.0.0/24 -d loginnet.passport.com -j REJECT
# iptables -A FORWARD -s 192.168.0.0/24 -d messenger.hotmail.com -j REJECT

#$IPTABLES -A FORWARD -s 192.168.0.0/24 -d webmessenger.msn.com -j DROP
$IPTABLES -A FORWARD -p tcp --dport 1080 -j DROP



Com isso as pessoas que terão o msn liberados eu fiz o caminho de IDA e de VOLTA

repare

--dport e --sport


Espero que ajude ....

Tente ai

FUi !!

[Brenno]

Tente fazer assim:

$IPTABLES -A FORWARD -s 192.168.4.0/24 -p tcp --dport 1863 -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d 64.4.13.0/24 -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d gtwy.messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d gateway.messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d svcs.microsoft.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d 72.21.56.243/24 -j DROP

for IPLIBERADOS in "192.168.4.222"
do
$IPTABLES -A FORWARD -s $IPLIBERADOS -p tcp --dport 1863 -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d 64.4.13.0/24 -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d gtwy.messenger.hotmail.com -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d gateway.messenger.hotmail.com -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d messenger.hotmail.com -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d svcs.microsoft.com -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d 72.21.56.243/24 -j ACCEPT
done

Pq ao meu ver primeiro vc dropa tudo e depois libera as excessões. Agora se vc liberar as excessões e depois dropar tudo vai ficar tudo dropado.

tenta assim

$IPTABLES -A FORWARD -s 192.168.4.0/24 -p tcp --dport 1863 -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d 64.4.13.0/24 -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d gtwy.messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d gateway.messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d svcs.microsoft.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d 72.21.56.243/24 -j DROP

for IPLIBERADOS in "192.168.4.222"
do
$IPTABLES -I FORWARD -s $IPLIBERADOS -p tcp --dport 1863 -j ACCEPT
$IPTABLES -I FORWARD -s $IPLIBERADOS -d 64.4.13.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IPLIBERADOS -d gtwy.messenger.hotmail.com -j ACCEPT
$IPTABLES -I FORWARD -s $IPLIBERADOS -d gateway.messenger.hotmail.com -j ACCEPT
$IPTABLES -I FORWARD -s $IPLIBERADOS -d messenger.hotmail.com -j ACCEPT
$IPTABLES -I FORWARD -s $IPLIBERADOS -d svcs.microsoft.com -j ACCEPT
$IPTABLES -I FORWARD -s $IPLIBERADOS -d 72.21.56.243/24 -j ACCEPT


recomendo você utilizar o squid+iptables, mas se não puder, vai nessas regras mesmo. boa sorte.

saka só, as regras que tão com -I serão lidas primeiro, então, coloca o ip de quem vc quer liberar em vez de colocar o $IPLIBERADOS, as regras com -A serão lidas sem seguidas . então pela logica funcionará. testa ae

[mastellaro]

Seguinte galera!!!!

Tenho uma regra no meu IPTABLES, que está bloqueando os MSN da minha empresa.... Mas olha que engraçado, consegui bloquear, mas para as pessoas que eu quero liberar, eu não consigo!!!!! De vez em quando, eu consigo entrar, mas não consigo enviar msg.

Abaixo está o meu script de bloqueio:

for IPLIBERADOS in "192.168.4.222"
do
$IPTABLES -A FORWARD -s $IPLIBERADOS -p tcp --dport 1863 -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d 64.4.13.0/24 -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d gtwy.messenger.hotmail.com -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d gateway.messenger.hotmail.com -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d messenger.hotmail.com -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d svcs.microsoft.com -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d 72.21.56.243/24 -j ACCEPT
done
$IPTABLES -A FORWARD -s 192.168.4.0/24 -p tcp --dport 1863 -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d 64.4.13.0/24 -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d gtwy.messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d gateway.messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d svcs.microsoft.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d 72.21.56.243/24 -j DROP

tenta colocar essa regrinha tb

iptables -A FORWARD -s IPLIBERADO/32 -d loginnet.passport.com -j ACCEPT


Posta ae se deu certo

[durban]

Seguinte...

Spyderlinux..... Não entendi ainda o que vc quis dizer com fazer outra regra no começo, vc diz fazer 2 regras iguais, uma no começo do firewall e outra onde ela está? Ou deixar só ela no começo do código??? Tentei usar a sua regra e não deu certo aqui!!!!


Mastellaro...... Tentei colocar a sua linha de código e não deu certo, mas só vendo se eu estou errado.... Acho que no final, não é .com e sim .net .... Mas do mesmo jeito tentei os 2 e nada.....


Brenno...... Mesmo colocando IP solitário, todo mundo ficou liberado.... será mesmo que esse -I é para ler primeiro, e não para passar por cima das regras??


Ainda não encontrei solução para o meu problema!!!!!

[Brenno]

Seguinte...

Spyderlinux..... Não entendi ainda o que vc quis dizer com fazer outra regra no começo, vc diz fazer 2 regras iguais, uma no começo do firewall e outra onde ela está? Ou deixar só ela no começo do código??? Tentei usar a sua regra e não deu certo aqui!!!!


Mastellaro...... Tentei colocar a sua linha de código e não deu certo, mas só vendo se eu estou errado.... Acho que no final, não é .com e sim .net .... Mas do mesmo jeito tentei os 2 e nada.....


Brenno...... Mesmo colocando IP solitário, todo mundo ficou liberado.... será mesmo que esse -I é para ler primeiro, e não para passar por cima das regras??


Ainda não encontrei solução para o meu problema!!!!!

10.2.4 Inserindo uma regra - I

Precisamos que o tráfego vindo de 192.168.1.15 não seja rejeitado pelo nosso firewall. Não podemos adicionar uma nova regra (-A) pois esta seria incluída no final do chain e o tráfego seria rejeitado pela primeira regra (nunca atingindo a segunda). A solução é inserir a nova regra antes da regra que bloqueia todo o tráfego ao endereço 127.0.0.1 na posição 1:

iptables -t filter -I INPUT 1 -s 192.168.1.15 -d 127.0.0.1 -j ACCEPT

Após este comando, temos a regra inserida na primeira posição do chain (repare no número 1 após INPUT) e a antiga regra número 1 passa a ser a número 2. Desta forma a regra acima será consultada, se a máquina de origem for 192.168.1.15 então o tráfego estará garantido, caso contrário o tráfego com o destino 127.0.0.1 será bloqueado na regra seguinte.

a unica explicação e sua politica estejá como ACCEPT, teria como vc colocar o retorno do comando iptables -L -v ?

[spyderlinux]

Olha só Brenno

Eu criei meu firewall deixando organizado.

regras input
regras nat
regras forward

como a politica do output está accept nao criei regras pra ele porque nao precisa

O que eu falei foi

para bloquear o msn você usa essas regras



echo "# FECHANDO MESSENGER "
$IPTABLES -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1863 -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d 65.54.239.80 -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d 65.54.179.192 -j REJECT
########### REGRA ACIMA IGUAL A DE
########### BAIXO POREM COM O IP PARA RESOLVER
# iptables -A FORWARD -s 192.168.0.0/24 -d loginnet.passport.com -j REJECT
# iptables -A FORWARD -s 192.168.0.0/24 -d messenger.hotmail.com -j REJECT

#$IPTABLES -A FORWARD -s 192.168.0.0/24 -d webmessenger.msn.com -j DROP
$IPTABLES -A FORWARD -p tcp --dport 1080 -j DROP
$IPTABLES -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1080 -j REJECT




Então o que você tem que fazer não só com o msn mas com todos os programas que alguns podem e outros não é

coloca em cima da primeira linha
no caso a linha -> echo "# FECHANDO MESSENGER "

em cima dela você discrimina quem vai fazer a solicitação pro acesso ao msn (porta 1863)
ou seja

supondo que eu que estou com o ip .171

# SpYdErLiNuX
$IPTABLES -A FORWARD -s 192.168.0.171 -p tcp --dport 1863 -j ACCEPT
$IPTABLES -A FORWARD -d 192.168.0.171 -p tcp --sport 1863 -j ACCEPT


eu uso so essa regra e ja era.

Entao você pega essas 2 linhas e coloca antes das que estão DROPando

Se isso não rolar é seu firewall que não está correto.
Rode o comando
iptables -L -v

como dito anteriormente.

E poste aqui pra tentarmos achar caso não conecte onde está o erro nas suas regras

FUI !!!

[Brenno]

Olha só Brenno

Eu criei meu firewall deixando organizado.

regras input
regras nat
regras forward

como a politica do output está accept nao criei regras pra ele porque nao precisa

O que eu falei foi

para bloquear o msn você usa essas regras



echo "# FECHANDO MESSENGER "
$IPTABLES -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1863 -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d 65.54.239.80 -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d 65.54.179.192 -j REJECT
########### REGRA ACIMA IGUAL A DE
########### BAIXO POREM COM O IP PARA RESOLVER
# iptables -A FORWARD -s 192.168.0.0/24 -d loginnet.passport.com -j REJECT
# iptables -A FORWARD -s 192.168.0.0/24 -d messenger.hotmail.com -j REJECT

#$IPTABLES -A FORWARD -s 192.168.0.0/24 -d webmessenger.msn.com -j DROP
$IPTABLES -A FORWARD -p tcp --dport 1080 -j DROP
$IPTABLES -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1080 -j REJECT




Então o que você tem que fazer não só com o msn mas com todos os programas que alguns podem e outros não é

coloca em cima da primeira linha
no caso a linha -> echo "# FECHANDO MESSENGER "

em cima dela você discrimina quem vai fazer a solicitação pro acesso ao msn (porta 1863)
ou seja

supondo que eu que estou com o ip .171

# SpYdErLiNuX
$IPTABLES -A FORWARD -s 192.168.0.171 -p tcp --dport 1863 -j ACCEPT
$IPTABLES -A FORWARD -d 192.168.0.171 -p tcp --sport 1863 -j ACCEPT


eu uso so essa regra e ja era.

Entao você pega essas 2 linhas e coloca antes das que estão DROPando

Se isso não rolar é seu firewall que não está correto.
Rode o comando
iptables -L -v

como dito anteriormente.

E poste aqui pra tentarmos achar caso não conecte onde está o erro nas suas regras

FUI !!!

Blz spyder, a unica coisa que eu falei, foi por nas regras que você vai liberar o msn o -I, com isso, tanto faz elas estarem acima ou abaixo das regras de drop, pois elas por terem o -I terão prioridade em relação as outras regras, mas do seu jeito tmb ta certo.

por isso que eu pedir pra ele verificar a politica das chains FORWARD E INPUT , caso esteja drop, só analizando o script pois concerteza tem algo errado.

[durban]

Seguinte galera.....

Como o firewall não fui eu quem fiz aqui (ele pertence a uma empresa que oferece internet a rádio) Não posso mecher muito nele, só criar essas regras de bloqueio.

Mas aqui no server, também tem Squid.... Se for para adicionar algo no Squid eu também posso, se alguem souber de uma saida para isso, com IPTABLES + SQUID, agradeço.....

[spyderlinux]

Isso, vão ter prioridades sim. Mas eu não gosto muito do -I. Num fica tão organizado e depois pode dar problema a alguma regra.

Eu pelo menos tento evitar. Num estou com mais nenhuma regra com o -I mas em ultimo caso eu uso também.

Entao você conseguiu liberar ?

[spyderlinux]

Durban, quanto ao squid. Se voc quiser bloquear no squid também ajuda. Fecha as possibilidades de burlarem a sua confiuração.
Sempre tem alguem testando.

Coloque no seu squid as urls

Tem uma que sei que fecha de imediato

application/x-msn-messenger
http://gateway.messenger.hotmail.com...y/gateway.dll? - DIRECT/65.54.239.21 application/x-msn-messenger


Esses 2 links ai são os de autenticação.

Vc bloqueando eles mata isso.

[durban]

Seguinte Spyderlinux....

O meu problema não é bloquear, e sim desbloquear.... rsrrssr

Eu consigo que ninguem conecte mais no MSN, mas tem gente (como chefes.....) que querem liberados os MSN's de certas pessoas.....

Ai não consigo liberá-los.....

Entende, se vc tiver um jeito de bloqueae e Liberar via Squid, fica melhor para mim!!!!!!!!

[slacklex]

A lógica de funcionamento de desbloquear/bloquear funciona da mesma maneira do Iptables, ou seja faça as acls de bloqueio como já mencionado aqui, no coloque a PRIMEIRO a regra referente à quem deve ter acesso ao MSN para só DEPOIS bloquear o resto...